Recentemente, uma investigação revelou quase 200 domínios de “Command / control” (C2) associados ao malware Raspberry Robin, também conhecido como Roshtyak ou Storm-0856.
Este malware atua como um “Initial Access Broker” (IAB), facilitando a infiltração de diversos grupos criminosos, muitos com ligações a entidades russas.
Sua capacidade de adaptação e evolução contínua o torna uma ameaça persistente e sofisticada. (APT)
Neste artigo, vamos explorar como o Raspberry Robin opera, seus métodos de propagação e infraestrutura C2, além de apresentar indicadores de compromisso (IoCs) atualizados para ajudar na deteção e mitigação desse malware.
Evolução e Métodos de Propagação
Desde sua descoberta em 2019, o Raspberry Robin tem demonstrado uma capacidade notável de adaptação:
• Dispositivos USB e Atalhos Maliciosos:
Inicialmente, o malware se espalhava por meio de drives USB infetados, utilizando arquivos de atalho (LNK files) disfarçados como pastas legítimas. Ao serem executados, esses atalhos ativavam o malware.
• Abuso de Dispositivos QNAP:
Raspberry Robin explorou dispositivos QNAP comprometidos como intermediários para baixar cargas maliciosas adicionais, sendo conhecido como o “QNAP worm”.
• Arquivos de Script do Windows (WSF):
O malware passou a utilizar arquivos de script do Windows para se propagar, muitas vezes distribuídos via plataformas como o Discord.
• Exploits de Dia Zero:
O Raspberry Robin também foi observado explorando vulnerabilidades como a CVE-2023-36802 para escalonamento de privilégios locais antes mesmo da divulgação pública.
Infraestrutura de Comando e Controle (C2)
A análise recente revelou detalhes importantes sobre a infraestrutura C2 do Raspberry Robin:
• Domínios de Curta Duração e Fast Flux:
Utilizando a técnica de fast flux, o malware altera rapidamente seus domínios C2, dificultando sua identificação e bloqueio.
• Registros em TLDs Específicos:
Muitos dos domínios associados possuem TLDs como .wf, .pm, .re, .nz, .eu, .gy, .tw e .cx, registrados por registradores como Sarek Oy, 1API GmbH e NETIM.
• Uso da Rede Tor:
Algumas variantes do Raspberry Robin utilizam a rede Tor para ofuscar suas comunicações C2, dificultando ainda mais o rastreamento.
Indicadores de Compromisso (IoCs)
Para auxiliar na identificação e mitigação de ameaças relacionadas ao Raspberry Robin, aqui estão os principais IoCs associados:
Domínios de Comando e Controle (C2)
• q2[.]rs
• m0[.]wf
• h0[.]wf
• 2i[.]pm
Endereço IP Associado
• 3.64.163.50
Hashes de Arquivos Maliciosos
• SHA-1: ae80fc23e8ca53dcf79e98679a57aae1c896030573a25a3df804fee390d0624e
• SHA-1: 8f68bc9bfcacc9aac93049d82ef4d05d1b0240176addfb01388129a039fe473b
• SHA-1: 36e424573e49cd9bc5e878dfff4656e84ffa9b369536f755260f2175f3b5fbb5
Conclusão e Recomendações
O Raspberry Robin continua a evoluir como uma ameaça crítica, especialmente por sua capacidade de atuar como vetor inicial para outros malwares como SocGholish, Dridex, LockBit e IcedID.
A identificação e o bloqueio dos IoCs listados são fundamentais para mitigar os riscos associados a essa ameaça.
Recomenda-se:
• Implementar soluções de EDR (Endpoint Detection and Response) para detetar atividades anómalas.
• Monitorizar comunicações com os domínios e IPs indicados.
• Atualizar assinaturas de antivírus e firewalls regularmente.
• Implementar políticas de bloqueio para dispositivos USB suspeitos.
Para uma análise mais aprofundada, consulte fontes de inteligência de ameaças como o AlienVault OTX.
A colaboração contínua entre profissionais de segurança é essencial para combater ameaças como o Raspberry Robin.
Para fortalecer a segurança e detetar atividades relacionadas ao Raspberry Robin, você pode configurar regras específicas no Wazuh.
Abaixo estão exemplos de regras para identificar conexões suspeitas, execução de arquivos maliciosos e exploração de vulnerabilidades.
Deteção de Conexões com Domínios C2 Conhecidos
Crie uma regra no Wazuh para monitorar logs de firewall ou DNS em busca de conexões com os domínios de comando e controle:
<group name="raspberry_robin_c2, malware, network">
<rule id="100001" level="10">
<decoded_as>json</decoded_as>
<field name="destination.domain" type="pcre2">
(\.wf|\.pm|\.rs|\.re|\.nz|\.eu|\.gy|\.tw|\.cx)$
</field>
<description>Conexão com domínio potencialmente associado ao Raspberry Robin</description>
<mitre>
<id>T1071</id> <!-- Application Layer Protocol -->
<id>T1090</id> <!-- Proxy -->
</mitre>
</rule>
</group>
• Ação: Bloquear ou Monitorizar logs para identificar conexões suspeitas.
• Fontes: Logs de firewall, IDS/IPS ou resoluções DNS.
Deteção de Hashes Maliciosos
Para identificar a execução de arquivos maliciosos associados ao Raspberry Robin, configure a verificação de integridade para Monitorizar hashes:
<group name="raspberry_robin_hashes, malware, file_monitor">
<rule id="100002" level="12">
<decoded_as>json</decoded_as>
<field name="file.hash.sha1">
(ae80fc23e8ca53dcf79e98679a57aae1c896030573a25a3df804fee390d0624e|
8f68bc9bfcacc9aac93049d82ef4d05d1b0240176addfb01388129a039fe473b|
36e424573e49cd9bc5e878dfff4656e84ffa9b369536f755260f2175f3b5fbb5)
</field>
<description>Deteção de hash malicioso relacionado ao Raspberry Robin</description>
<mitre>
<id>T1059</id> <!-- Command and Scripting Interpreter -->
</mitre>
</rule>
</group>
• Ação: Geração de alerta de alta prioridade.
• Fontes: Logs de antivírus, EDR ou soluções de Monitorização de arquivos.
Deteção de Exploração de Vulnerabilidades (CVE-2023-36802)
Caso seu ambiente esteja vulnerável à exploração da CVE-2023-36802, você pode criar uma regra para detetar atividades suspeitas:
<group name="raspberry_robin_hashes, malware, file_monitor">
<rule id="100002" level="12">
<decoded_as>json</decoded_as>
<field name="file.hash.sha1">
(ae80fc23e8ca53dcf79e98679a57aae1c896030573a25a3df804fee390d0624e|
8f68bc9bfcacc9aac93049d82ef4d05d1b0240176addfb01388129a039fe473b|
36e424573e49cd9bc5e878dfff4656e84ffa9b369536f755260f2175f3b5fbb5)
</field>
<description>Deteção de hash malicioso relacionado ao Raspberry Robin</description>
<mitre>
<id>T1059</id> <!-- Command and Scripting Interpreter -->
</mitre>
</rule>
</group>
• Ação: Alertar e iniciar investigações de possível exploração.
• Fontes: Logs de eventos do Windows ou logs de segurança de endpoint.
Deteção de Acesso a IPs Suspeitos
Se houver deteção de conexões com IPs associados ao Raspberry Robin, a seguinte regra pode ser usada:
<group name="raspberry_robin_ip, network, malware">
<rule id="100004" level="10">
<decoded_as>json</decoded_as>
<field name="destination.ip">3.64.163.50</field>
<description>Conexão com IP associado ao Raspberry Robin</description>
<mitre>
<id>T1071</id> <!-- Application Layer Protocol -->
</mitre>
</rule>
</group>
• Ação: Bloquear a conexão e investigar a origem.
• Fontes: Logs de firewall, IDS ou SIEM.
Conclusão
A implementação destas regras no Wazuh ajuda a identificar atividades suspeitas relacionadas ao Raspberry Robin. Para uma defesa mais robusta:
• Monitorize continuamente: Utilize dashboards no Wazuh para acompanhar alertas em tempo real.
• Automatize respostas: Integre com ferramentas SOAR (Security Orchestration, Automation, and Response) para respostas rápidas.
• Atualize IoCs: Reveja regularmente os indicadores de compromisso em fontes confiáveis como o AlienVault OTX.
Essas medidas irão reforçar a postura de segurança da sua organização contra ameaças emergentes.
Mantenha-se vigilante e seguro!
